Cuando la categoría de URL es "cualquier" se permite el tráfico

• Categoría de URL establecida en cualquier regla incorrecta o permitida incorrectamente
• Los registros de tráfico muestran el tráfico permitido y el motivo final de la sesión que no sea la amenaza

• PAN-os
• Categoría de URL configurada en las reglas de directiva de seguridad

• La categoría de URL cualquiera está permitida por diseño porque es una categoría definida implícitamente antes de que se identifique la categoría. Esta elección se ha realizado por diseño, ya que si ha configurado los criterios de coincidencia de categoría de URL en cualquiera de las reglas y no hay una regla de permiso predeterminada, se descartará todo el tráfico cuya categoría aún no está identificada.
• Si la sesión se registra al inicio, la categoría puede ser 'cualquiera', ya que solo registra los datos iniciales después del protocolo de enlace de 3 vías. Esto significa que debemos preocuparnos por el tipo de sesión 'end', desde el punto de vista del registro de tráfico.
• Si el identificador de la aplicación identificado es la categoría ssl puede ser 'cualquiera', significa que la sesión finalizó justo después de que finalizó el protocolo de enlace ssl. En este caso, si existe una preocupación sobre la coincidencia de políticas, es necesario descifrar la sesión. Si no se descifra, app-id puede permanecer ssl, por lo que el firewall no tiene la capacidad de inspeccionar el tráfico http para que coincida con la categoría de URL correcta.
• Si el identificador de aplicación identificado está incompleto, la transacción está incompleta, no tenemos datos significativos para analizar, por lo que la categoría será "cualquiera"
• La categoría de URL de la sesión principal de HTTP2 es "cualquiera". Esto se puede identificar como el identificador de conexión http2 que es 0. Para HTTP2 que tiene sesión de conexión y sesión de transmisión, dentro de HTTP2 hay varias secuencias. En el cortafuegos, tratamos cada sesión de transmisión como sesiones dedicadas.

• Filtrar el tráfico que es iniciar sesión de registro
• Filtre el tráfico cuya aplicación es ssl, incompleta, insuficiente
• Filtrar el tráfico que es ssl y no está descifrado
• Filtrar las sesiones principales http2

El siguiente filtro es una buena referencia para comprobar el tráfico relevante:

( subtipo eq 'end' ) y ( app neq 'ssl' ) y ( flags has proxy ) y ( http2_connection neq '0' )

¿Por qué la política de seguridad de coincidencia de tráfico es incorrecta basada en la categoría de URL personalizada?